CVE-2022-21657 in Envoy
الملخص
بحسب VulDB • 26/06/2026
Envoy هو وسيط حدودي وخدمة مفتوح المصدر، مصمم لتطبيقات السحابة الأصلية (cloud-native). في الإصدارات المتأثرة، لا يقوم Envoy بتقييد مجموعة الشهادات التي يقبلها من الطرف الآخر، سواءً كعميل TLS أو كخادم TLS، للشهادات التي تحتوي فقط على استخدامات المفتاح الموسعة الضرورية (id-kp-serverAuth و id-kp-clientAuth على التوالي). وهذا يعني أنه يمكن للطرف الآخر تقديم شهادة بريد إلكتروني (مثل id-kp-emailProtection)، إما كشهادة جذرية (leaf certificate) أو كهيئة إصدار شهادات (CA) في السلسلة، وسيتم قبولها لـ TLS. يعد هذا الأمر سيئًا بشكل خاص عند دمجه مع المشكلة الموصوفة في طلب السحب #630، حيث يسمح لهيئة إصدار شهادات Web PKI مخصصة للاستخدام فقط مع S/MIME، وبالتالي المعفاة من التدقيق أو الإشراف، بإصدار شهادات TLS سيتم قبولها بواسطة Envoy. ونتيجة لذلك، سيثق Envoy بشهادات الطرف العلوي التي لا ينبغي الوثوق بها. لا توجد حلول بديلة معروفة لهذه المشكلة. يُنصح المستخدمون بالترقية إلى أحدث إصدار.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.